Azure Arc を導入することで、Azure Policy をオンプレミスの環境でも使用することができるようになります。
Policy の割り当てや解除をすると、次のようなメッセージが表示され、変更が有効になるまで 30 分程度時間がかかることが表示されます。
評価の間隔にはいくつかの待機時間のパターンがあるようなので、情報を残しておきたいと思います。
ドキュメントレベルで確認をしており、Arc エージェントの実際のログからの確認は行っていません。
SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿
Azure Arc を導入することで、Azure Policy をオンプレミスの環境でも使用することができるようになります。
Policy の割り当てや解除をすると、次のようなメッセージが表示され、変更が有効になるまで 30 分程度時間がかかることが表示されます。
評価の間隔にはいくつかの待機時間のパターンがあるようなので、情報を残しておきたいと思います。
ドキュメントレベルで確認をしており、Arc エージェントの実際のログからの確認は行っていません。
SQL Server 2022 では、セットアップ時に SQL Server on Azure Arc 対応サーバーをインストールすることができるようになり、セットアップで Azure Arc ならびに SQL Server 向けの拡張機能をインストールした状態でオンボードすることが可能となりました。
SQL Server 2022 より前のバージョンの SQL Server についても Azure Arc に接続がされていれば、Azure Policy 経由で SQL Server on Azure Arc 対応サーバーを導入することができ、導入の自動化につなげることができますので、本投稿では Azure Policy を使用した Windows サーバーへの SQL Server on Azure Arc 対応サーバーの導入を実施してみたいと思います。
作業内容としては、Azure Policy を使用した大規模な接続 になります。
Azure Arc 対応サーバーで Windows サーバーに対して ゲスト構成機能 (Azure ポリシー) の適用状況を確認する際のログについてまとめておきたいと思います。
技術情報としては次のドキュメントを確認するとよいかと思います。
ポリシーの適用については反映されるまで時間がかかりますが、反映のタイミングについては Validation frequency に記載されており、基本的な感覚は次のようになるようです。
Azure Policy では、ゲスト構成機能 (Guest Configuration: GC) により、環境内のマシンの状態を管理することができます。
ゲスト構成は、次のいずれかの環境に対して使用することができます。
Azure だけでなく、Azure Arc 対応サーバーをインストールしている環境についても Azure Policy のゲスト構成機能を活用することができます。(Azure の仮想マシンについては追加コストは発生しませんが、Azure Arc の環境については追加コストが発生します)
Azure Policy では組み込みポリシー定義が提供されており、Azure 仮想マシンならびに Azure Arc 向けのポリシーが提供されています。
これらのポリシーの中には、ゲスト構成機能を使用したルールも提供されており、本投稿はゲスト構成機能を使用したルールの監査状況の確認方法をポータルから実施する際の操作を調べたものとなります。
ゲスト構成機能については冒頭に紹介したドキュメントも含めた、次の内容を確認しておくとよさそうです。
Azure Arc 対応サーバー (Enabled Server) で Azure に認識させているサーバーについては、Azure Policy の管理対象とすることができます。
ポリシーの準拠状況は、Azure Arc のブレードの「ポリシー」や「マシン構成 (プレビュー)」から確認することができるのですが、Azure セキュリティベンチマークを割り当て対象としている場合、Windows の標準設定だと「マシン構成 (プレビュー)」の「WindowsDefenderExploitGuard」の構成が「準拠していない」状態となります。
この構成を準拠している状態に持っていくための設定をまとめておきたいと思います。
Azure の管理 / 運用性を Azure 外で動作している環境にも提供することができる Azure Arc Enabled Server (Azure Arc 対応サーバー) ですが、導入した環境は、Azure Active Directory にマネージド ID が登録されるため、アクセストークンを使用して Azure 上の操作が可能となります。
次の画像は AAD で Azure Arc Enabled Server を有効にしているサーバー名を検索したものですが、マネージド ID が登録されていることが確認できますね。
詳細については次のドキュメントに記載されています。
Azure Arc Enabled Server を導入した環境では、Azure SQL Database へのアクセスにマネージド ID を使用することができるようになり、まだ試したことがかなかったので軽く試してみました。
先日、自宅に ESXi の環境を構築したついでに、Azure Arc Enabled VMware vSphere の情報も集めてみました。
構築も実施してみたのですが、展開時にエラーとなってしまい最後までは完了させることができなかったのですが、様々な情報が公開されていました。
Azure Arc Enabled VM は Preview の登録が必要だと思うのですが、VMware vSphere については、プレビュー登録の記載がなく、「Microsoft.ResourceConnector」「Microsoft.ConnectedVMwarevSphere」というようなリソースプロバイダーも登録スクリプトの中で有効化が行われているので、どこまで利用できるのかがよくわかりませんでした。
Azure Arc Enabled SQL Server (Azure Arc 対応サーバーでの SQL Server) の操作方法について、ドキュメントを見てもわかりづらいところがいくつかあったので、本投稿で操作方法をまとめておきたいと思います。
私の環境では、サブスクリプション単位で、Microsoft Defender for Cloud を有効にせず、Log Analytics ワークスペース単位で有効にしているということもあるので、その辺も操作の複雑性に起因しているかもしれません。
今回の環境は Windows 版の SQL Server を対象としています。
Azure Automation の Runbook を任意の環境上で動作させる方法として、Hybrid Runbook Worker があります。
Hybrid Runbook Worker を使用することで、任意の環境上で Automation の Runbook を実行することができるようになりますので、オンプレミスの環境や Azure VM 上で Runbook を実行するということが可能となります。
Hybrid Runbook Worker の導入方法としては、エージェントベースワーカー (v1) と拡張機能ベースワーカー (v2) の 2 種類があります。
エージェントベースについては、Log Analytics ワークスペースへの接続が必要でした。
拡張機能ベースについては、Log Analytics ワークスペースに接続はする必要はなく、オンプレミスの環境であれば、Azure Arc Enabled Server の拡張機能としてインストールをすることができます。(Azure VM の場合は、Arc ではなく、Azure VM エージェントの拡張機能としてインストールできます)
Azure Arc が導入されている環境を Hybrid Runbook Worker でしようとした場合、現時点ではエラーとなるケースがあるようです。
原因都回避策については、次の Q&A で解説が行われており、現時点では既知の問題となるようです。
追記
2022/1/25 時点では、問題が解決され、Automation アカウントのマネージド ID が有効な状態でも、Runbook が実行できるようになりました。
2021/11/3~4 に開催されていて Ignite 2021、2021/11/10~12 で開催されていた PASS Data Community Summit 2021 で SQL Server ベースのアップデートが多数発表されました。
これらのイベントで発表されたアップデートについて一通り確認ができ、次の投稿に情報を反映しました。
各投稿の目次が次になりますが、大小合わせると様々なアップデートがのアナウンスが行われていますね。